Guida al Cybersecurity Framework del Nist

Quando parliamo di Cybersecurity siamo soliti pensare a questi termini: pericolo, minaccia, reazione. La nostra idea, invece, è che – anche in ambito cyber – maggiore è la pianificazione strategica, migliore sarà postura di sicurezza informatica della nostra organizzazione e, quindi, della nostra vita lavorativa.

“Imprevisto” o “probabilità”?

Se hai giocato a Monopoli almeno una volta nella vita, sai che ci sono due caselle in grado di cambiare le sorti del tuo percorso, quella degli “imprevisti” e quella delle “probabilità”.

Il percorso della tua organizzazione è simile a quello percorso dalle pedine del gioco, ma nel CyberMonopoli dobbiamo ridurre al minimo la pila delle carte “imprevisto”, lavorando con maggiore attenzione su quella delle “probabilità”, perché ormai lo sappiamo:

"Non è un se, ma un quando (saremo vittime del Cybercrime)"

Cosa considerare prima di pianificare una strategia di Cybersecurity

Ci sono alcuni punti che è importante avere ben chiari prima di iniziare a ragionare e a riflettere su un piano di Cybersecurity da applicare alla propria realtà:

1. Le organizzazioni non sono tutte uguali, ciascuna ha la sua storia e i suoi obiettivi motivo per cui l’approccio “taglia unica” può non essere vincente;

2. I contesti e i mercati non sono tutti uguali, ciascuno ha le sue regole, i suoi tempi, le sue normative di riferimento. Partire da questo perimetro d’azione consente di compiere scelte ragionate e adatte;

3. Va trovato un punto di equilibrio tra le esigenze di sicurezza e quelle di business. La tecnologia, per essere vincente, deve essere usata (e usabile!);

4. È necessario maturare consapevolezza rispetto al proprio livello di sicurezza. Lasciamo questo punto per ultimo, ma solo per far sì che rimanga ben impresso: la consapevolezza è tutto, senza di essa abbiamo tutti perso in partenza.

Come trovare la strada giusta?

Il percorso da seguire deve essere chiaro e fatto di tappe misurabili. È importante concentrarsi sulla tecnologia, ma bisogna sempre tenere presente che la tecnologia è solo un mezzo e il coinvolgimento delle persone è fondamentale. Così come è vitale il mindset che l’intera organizzazione deve adottare per far fronte alle minacce sempre più frequenti, subdole e letali: ZERO TRUST. L’approccio ZERO TRUST presuppone l’assenza di un perimetro di rete affidabile in cui ogni transazione di rete deve essere autenticata prima di concretizzarsi. È pensato per affrontare le minacce cosiddette «laterali», insidia pericolosa dalla quale proteggersi anche quando si implementano soluzioni di monitoraggio. Il legame che unisce questo approccio al ruolo degli utenti sta nella necessità di doverlo applicare anche (e soprattutto) ai singoli Endpoint che – ad oggi – non sono necessariamente ubicati all’interno della sede aziendale. Nel prepararsi a cambiare passo quando si tratta di migliorare la postura di sicurezza della propria organizzazione, vanno tenuti a mente 3 assiomi:

1. Il percorso deve essere circolare, non lineare, l’unico approccio efficace è quello del miglioramento continuo;

2. Va adottato un approccio a più livelli. I diversi livelli, implementati in un moto di circolare, permettono alle misure di sicurezza di interagire tra di loro creando un reticolato di protezione;

3. Sperare in meglio, prepararsi al peggio, avere un piano B pronto, sempre, ma non un piano B qualunque, bensì un piano B studiato sulle esigenze dell’azienda e del mercato in cui opera.

L’approccio da seguire: perché basarsi su un framework?

Un framework è un modello, ma non un modello frutto solo della nostra esperienza, bensì un modello ufficiale, testato, scalabile e in poche parole SICURO. Un framework può fare la differenza per una serie di motivi:

1. Consente di analizzare e organizzare le attività partendo da una visione più alta;

2. Non è focalizzato solo sulla tecnologia;

3. Rappresenta una metodologia condivisa a livello di Community e di Mercato;

4. Agevola la creazione di un «circolo virtuoso» con cui gestire il miglioramento della «postura» in ambito Cybersecurity.

T-Consulting ha scelto di seguire il Framework di Cybersecurity del NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti d'America che si occupa della gestione delle tecnologie.

Qual è l’obiettivo di un framework?

Un framework si pone diversi obiettivi, questi sono i più rilevanti:

1. Identificare standard di sicurezza e linee guida applicabili in tutti i settori delle infrastrutture critiche;

2. Fornire un approccio prioritario, flessibile, ripetibile, performance-based ed efficiente per quanto riguarda i costi (cost-effective). È impossibile (e a volte superfluo) fare tutto e subito;

3. Aiutare i proprietari e gli operatori di infrastrutture critiche a identificare, valutare e gestire il rischio informatico;

4. Consentire l’innovazione tecnica e tenere conto delle differenze organizzative. Non possiamo pensare che ci sia una “taglia unica” dell’innovazione e delle tecnologie;

5. Fornire una guida che sia neutrale dal punto di vista tecnologico e che permetta ai settori delle infrastrutture critiche di beneficiare di un mercato competitivo per prodotti e servizi;

6. Includere una guida per poter misurare l’efficacia e le prestazioni dell’implementazione del framework;

7. Identificare le aree di miglioramento che dovrebbero essere oggetto di miglioramenti futuri in collaborazione con specifici settori e organizzazioni di sviluppo degli standard.

Cybersecurity framework del Nist: i 5 pilastri

Il CSF (Cybersecurity Framework) del NIST è composto da 5 pilastri, ciascuno dei quali prevede al suo interno una serie di azioni da implementare. I 5 pilastri sono:

1. Identificazione
2. Protezione
3. Rilevazione
4. Risposta
5. Ripristino

Il primo pilastro, ovvero la prima fase, è relativa all’Identificazione. con questo termine ci si riferisce alla conoscenza e alla mappatura di tutte le componenti da proteggere in termini di: Asset, Business e Processi di Governance e comprende attività di VA (Vulnerability Assessment) e PT (Penetration Test). Per informazioni più dettagliate leggi l’articolo del nostro blog dedicato all’identificazione.

Il passo successivo è relativo alla Protezione: ci si concentra sulle soluzioni che hanno il ruolo di impedire il verificarsi di un incidente di sicurezza informatico o, quantomeno, di contenere l’impatto. La parola chiave di questo passaggio è Zero Trust, di conseguenza andranno implementate varie attività: gestione degli accessi, MFA (Multi-Factor Authentication), patching di sistemi ed applicazioni, ecc. come descritto in questo articolo.

A seguire, si parla di Rilevazione, cioè della capacità di rilevare eventi anomali e stabilire il loro potenziale impatto. In questo caso, è importante attivare, fra le altre cose, un monitoraggio degli eventi di sistema e del traffico di rete e  avere chiare politiche di Data Loss Prevention. Lo strumento principale da implementare è una piattaforma XDR (eXtended Detection & Response), per approfondire leggi l’articolo dedicato qui. 

Il quarto passaggio è chiamato Risposta e identifica le attività da intraprendere per contenere l'impatto di un potenziale incidente di sicurezza informatica. Per questa fase è fondamentale avere un piano di Incident Response e attuare azioni di mitigazione e contenimento. Leggi questo articolo per saperne di più.

Infine, si arriva al Ripristino, cioè alla riattivazione e ripartenza delle normali operazioni. In questo caso, deve essere implementato un piano di Disaster Recovery (facilmente accessibile), oltre a un piano di Incident Response. Ne parliamo più in dettaglio in questo articolo.

Per conoscere più nel dettaglio il CSF del Nist e le singole attività da implementare in ogni fase, compila il form qui sotto e scarica gratuitamente l’ebook "Guida al Cybersecurity Framework del Nist: tutto quello che un IT Manager deve sapere".